Sichern des Netzwerkzugriffs auf PaaS-Dienste mit VNET-Dienstendpunkten
Sie haben Ihre vorhandenen App- und Datenbankserver für Ihr ERP-System als VMs zu Azure migriert. Sie überlegen sich nun, einige Azure-PaaS-Dienste (Platform-as-a-Service) zu verwenden, um die Kosten und den Verwaltungsaufwand zu reduzieren. Große Dateiressourcen wie technische Diagramme sollen in Speicherdiensten gespeichert werden. Diese technischen Diagramme enthalten vertrauliche Informationen und müssen vor nicht autorisiertem Zugriff geschützt werden. Diese Dateien dürfen nur über spezifische Systeme zugänglich sein.
In dieser Lerneinheit erfahren Sie, wie Sie VNET-Dienstendpunkte zum Sichern unterstützter Azure-Dienste verwenden.
VNET-Dienstendpunkte
Verwenden Sie VNET-Dienstendpunkte zum Erweitern Ihres privaten Adressraums in Azure, indem Sie eine direkte Verbindung zu Ihren Azure-Diensten bereitstellen. Mit Dienstendpunkten können Sie Ihre Azure-Ressourcen mit Ihrem virtuellen Netzwerk schützen. Der Dienstdatenverkehr verläuft weiterhin über den Azure-Backbone und nicht über das Internet.
Azure-Dienste sind standardmäßig für den direkten Internetzugriff vorgesehen. Alle Azure-Ressourcen, einschließlich PaaS-Dienste wie Azure SQL-Datenbank und Azure Storage, verfügen über öffentliche IP-Adressen. Da diese Dienste im Internet zur Verfügung gestellt werden, kann möglicherweise jeder auf Ihre Azure-Dienste zugreifen.
Dienstendpunkte können mit bestimmten PaaS-Diensten eine direkte Verbindung über Ihren privaten Adressraum in Azure herstellen, damit sie sich verhalten, als befänden sie sich im gleichen virtuellen Netzwerk. Verwenden Sie Ihren privaten Adressraum, um direkt auf die PaaS-Dienste zuzugreifen. Der öffentliche Endpunkt wird beim Hinzufügen von Dienstendpunkten nicht entfernt. Der Datenverkehr wird lediglich umgeleitet.
Azure-Dienstendpunkte stehen für viele Dienste zur Verfügung, zum Beispiel:
- Azure Storage
- Azure SQL-Datenbank
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus
- Azure Data Lake
Für einen Dienst wie SQL-Datenbank, auf den Sie erst zugreifen können, wenn Sie der Firewall IP-Adressen hinzufügen, sollten Sie dennoch Dienstendpunkte in Betracht ziehen. Die Verwendung eines Dienstendpunkts für SQL-Datenbank schränkt den Zugriff auf spezifische virtuelle Netzwerke ein, wodurch die Isolation verstärkt und die Angriffsfläche reduziert wird.
Funktionsweise von Dienstendpunkten
Zum Aktivieren eines Dienstendpunkts sind folgende Schritte erforderlich:
- Deaktivieren des öffentlichen Zugriffs auf den Dienst
- Hinzufügen des Dienstendpunkts zu einem virtuellen Netzwerk
Wenn Sie einen Dienstendpunkt aktivieren, schränken Sie den Datenverkehrsfluss ein und erlauben Ihren virtuellen Azure-Computern den direkten Zugriff von Ihrem privaten Adressraum auf den Dienst. Geräte können nicht über ein öffentliches Netzwerk auf den Dienst zugreifen. Wenn Sie die effektiven Routen auf einer bereitgestellten virtuellen VM-Netzwerkschnittstelle betrachten, wird Ihnen der Dienstendpunkt als Typ des nächsten Hops auffallen.
Nachfolgend ein Beispiel für eine Routingtabelle vor dem Aktivieren eines Dienstendpunkts:
| QUELLE | STATUS | ADRESSPRÄFIXE | TYP DES NÄCHSTEN HOPS |
|---|---|---|---|
| Standard | Aktiv | 10.1.1.0/24 | VNet |
| Standard | Aktiv | 0.0.0.0./0 | Internet |
| Standard | Aktiv | 10.0.0.0/8 | Keine |
| Standard | Aktiv | 100.64.0.0./10 | Keiner |
| Standard | Aktiv | 192.168.0.0/16 | Keine |
Nun folgt ein Beispiel für eine Routentabelle, nachdem Sie zwei Dienstendpunkte zum virtuellen Netzwerk hinzugefügt haben:
| QUELLE | STATUS | ADRESSPRÄFIXE | TYP DES NÄCHSTEN HOPS |
|---|---|---|---|
| Standard | Aktiv | 10.1.1.0/24 | VNet |
| Standard | Aktiv | 0.0.0.0./0 | Internet |
| Standard | Aktiv | 10.0.0.0/8 | Keine |
| Standard | Aktiv | 100.64.0.0./10 | Keiner |
| Standard | Aktiv | 192.168.0.0/16 | Keine |
| Standard | Aktiv | 20.38.106.0/23, 10 weitere | VirtualNetworkServiceEndpoint |
| Standard | Aktiv | 20.150.2.0/23, 9 weitere | VirtualNetworkServiceEndpoint |
Jeglicher Datenverkehr des Diensts wird nun an VirtualNetworkServiceEndpoint geleitet und verläuft intern in Azure.
Dienstendpunkte und Hybridnetzwerke
Dienstressourcen, die Sie mithilfe von VNET-Dienstendpunkten gesichert haben, sind standardmäßig nicht über lokale Netzwerke zugänglich. Sie müssen NAT-IP-Adressen verwenden, um über ein lokales Netzwerk auf Ressourcen zuzugreifen. Wenn Sie ExpressRoute für die Verbindung zwischen einem lokalen Netzwerk und Azure verwenden, müssen Sie die NAT-IP-Adressen identifizieren, die von ExpressRoute verwendet werden. Jede Verbindung mit dem Azure-Backbonenetzwerk nutzt standardmäßig zwei NAT-IP-Adressen. Anschließend müssen Sie diese IP-Adressen der Konfiguration der IP-Firewall der Azure-Dienstressource (z. B. Azure Storage) hinzufügen.
Im folgenden Diagramm wird veranschaulicht, wie Sie einen Dienstendpunkt und eine Firewallkonfiguration zum Gewähren des Zugriffs auf Azure Storage-Ressourcen für lokale Geräte gewähren können:
